四、文件 注册表 多线程

最新推荐文章于 2022-06-14 21:23:28 发布
最新推荐文章于 2022-06-14 21:23:28 发布
阅读量325 收藏
点赞数
分类专栏: windows驱动学习 文章标签: 驱动、系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangyingfeng/article/details/107111187
版权

文件 注册表 多线程

1、文件操作

文件操作,内核模式下打开、创建、拷贝文件

#include <ntddk.h>


VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
	KdPrint(("驱动成功卸载\n"));
}

void MyCopyFile(HANDLE source, HANDLE dest)
{
	NTSTATUS status;
	PVOID buffer = NULL;
	LARGE_INTEGER offset = { 0 };
	IO_STATUS_BLOCK io_status = { 0 };
	buffer = ExAllocatePool(PagedPool, 4*1024*sizeof(char));
	if (buffer == NULL)
	{
		KdPrint(("分配读写buffer空间失败"));
		return;
	}
	int length = 1024 * 4;
	do
	{
		while (1)
		{
			status = ZwReadFile(source, NULL, NULL, NULL, &io_status, buffer, length, &offset, NULL);
			if (!NT_SUCCESS(status))
			{
				if (status == STATUS_END_OF_FILE)
					status = STATUS_SUCCESS;
				break;
			}
			
			length = io_status.Information;
			
			status = ZwWriteFile(dest, NULL, NULL, NULL, &io_status,buffer, length, &offset, NULL);
			if (!NT_SUCCESS(status))
				break;
			offset.QuadPart += length;
		}
	} while (0);
	if (buffer != NULL)
		ExFreePool(buffer);

}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING reg_path)
{
	NTSTATUS status;

	KdPrint(("%wZ",reg_path));
	UNICODE_STRING unicSourceName, unicDestName;
	RtlInitUnicodeString(&unicSourceName, L"\\??\\c:\\test\\sql.txt");
	KdPrint(("source file is: %wZ", &unicSourceName));

	RtlInitUnicodeString(&unicDestName, L"\\??\\c:\\test\\sqltest.txt");
	KdPrint(("dest file is: %wZ", &unicDestName));

	HANDLE hSourceHandle = NULL;
	HANDLE hDestHandle = NULL;
	OBJECT_ATTRIBUTES object_attributes1, object_attributes2;
	IO_STATUS_BLOCK iostatus;
	//初始化文件属性
	InitializeObjectAttributes(
		&object_attributes1,
		&unicSourceName,
		OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
		NULL,
		NULL
	);

	InitializeObjectAttributes(
		&object_attributes2,
		&unicDestName,
		OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
		NULL,
		NULL
	);

	status = ZwCreateFile(
		&hSourceHandle,
		GENERIC_READ | GENERIC_WRITE,
		&object_attributes1,
		&iostatus,
		NULL,
		FILE_ATTRIBUTE_NORMAL,
		FILE_SHARE_READ,
		FILE_OPEN_IF,
		FILE_NON_DIRECTORY_FILE|FILE_RANDOM_ACCESS|FILE_SYNCHRONOUS_IO_NONALERT,
		NULL,
		0
	);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("文件打开失败"));
		KdPrint(("失败原因:%d", iostatus.Information));
	}
	status = ZwCreateFile(
		&hDestHandle,
		GENERIC_READ | GENERIC_WRITE,
		&object_attributes2,
		&iostatus,
		NULL,
		FILE_ATTRIBUTE_NORMAL,
		FILE_SHARE_READ,
		FILE_OPEN_IF,
		FILE_NON_DIRECTORY_FILE|FILE_RANDOM_ACCESS | FILE_SYNCHRONOUS_IO_NONALERT,
		NULL,
		0
	);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("创建文件失败"));
		KdPrint(("失败原因:%d", iostatus.Information));
	}

	MyCopyFile(hSourceHandle, hDestHandle);
	ZwClose(hDestHandle);
	ZwClose(hSourceHandle);

	pDriverObject->DriverUnload = DriverUnload;
	return STATUS_SUCCESS;
}

2、注册表操作

内核程序读写注册表跟应用程序API大致相似,应用程序根子键句柄与内核注册表路径对应表如下:

应用程序对应的子键驱动编程中的路径写法
HKEY_LOCAL_MACHINE\Registry\Machine
KEY_USERS\Registry\User
HEY_CLASSES_ROOT没有对应的路径
HKEY_CURRENT_USER没有对应的路径,但是可以求得

内核程序读写注册表步骤为:InitilizeObjectAttributes初始化OBJECT_ATTRIBUTES,ZwCreateKey或者ZwOpenKey打开注册表键获取句柄,ZwQueryValueKey第一次调用获取注册表键值需要存储的空间大小,ZwQueryValueKey第二次调用会把注册表键值信息(类型、值数据)保存在KEY_VALUE_PARTIAL_INFORMATION结构中。根据该结构中的Type分类解析数据,REG_DWORD、REG_SZ,常用的是双字节和字符串型,如何取值参考完整代码,写入注册表值使用ZwSetValueKey,关闭注册表句柄ZwClose,API参数如下:

InitializeObjectAttributes参数初始化OBJECT_ATTRIBUTES

VOID
InitializeObjectAttributes(
    OUT POBJECT_ATTRIBUTES InitializedAttributes ,
    IN PUNICODE_STRING ObjectName ,
    IN ULONG Attributes ,
    IN HANDLE RootDirectory ,
    IN PSECURITY_DESCRIPTOR SecurityDescriptor
    );

ZwCreateKey以创建的方式打开注册表

NTSYSAPI NTSTATUS ZwCreateKey(
  PHANDLE            KeyHandle,
  ACCESS_MASK        DesiredAccess,
  POBJECT_ATTRIBUTES ObjectAttributes,
  ULONG              TitleIndex,
  PUNICODE_STRING    Class,
  ULONG              CreateOptions,
  PULONG             Disposition
);

ZwOpenKey打开注册表

NTSYSAPI NTSTATUS ZwOpenKey(
  PHANDLE            KeyHandle,
  ACCESS_MASK        DesiredAccess,
  POBJECT_ATTRIBUTES ObjectAttributes
);

ZwQueryValueKey查询注册表路径下的项值

NTSYSAPI NTSTATUS ZwQueryValueKey(
  HANDLE                      KeyHandle,
  PUNICODE_STRING             ValueName,
  KEY_VALUE_INFORMATION_CLASS KeyValueInformationClass,
  PVOID                       KeyValueInformation,
  ULONG                       Length,
  PULONG                      ResultLength
);

ZwSetValueKey写注册表值

NTSYSAPI NTSTATUS ZwSetValueKey(
  HANDLE          KeyHandle,
  PUNICODE_STRING ValueName,
  ULONG           TitleIndex,
  ULONG           Type,
  PVOID           Data,
  ULONG           DataSize
);

ZwClose注册表操作完后关闭注册表句柄

NTSTATUS
NTAPI
ZwClose(
    _In_ HANDLE Handle
    );

完整操作注册表的函数如下

void GetKeyValue(PKEY_VALUE_PARTIAL_INFORMATION pKeyValue_infor, PUNICODE_STRING unicString, PULONG ulVaule)
{
	switch (pKeyValue_infor->Type)
	{
		case REG_BINARY:
		{
			break;
		}
		case REG_DWORD:
		{
			*ulVaule = *(PULONG)(pKeyValue_infor->Data);
			break;
		}
		case REG_DWORD_BIG_ENDIAN:
		{
			break;
		}
		case REG_EXPAND_SZ:
		{
			break;
		}
		case REG_MULTI_SZ:
		{
			break;
		}
		case REG_SZ:
		{
			RtlInitUnicodeString(unicString, (PCWSTR)(pKeyValue_infor->Data));
			break;
		}
		default:
		{
			break;
		}
	}
}
void RegReadWrite()
{
	HANDLE my_key = NULL;
	NTSTATUS status;

	//注册表路径
	UNICODE_STRING my_key_path = RTL_CONSTANT_STRING(L"\\Registry\\Machine\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion");

	//UNICODE_STRING my_key_newPath = RTL_CONSTANT_STRING(L"")

	OBJECT_ATTRIBUTES my_object_attr = {0};
	InitializeObjectAttributes(&my_object_attr, &my_key_path, OBJ_CASE_INSENSITIVE,NULL,NULL);

	//打开key
	status = ZwOpenKey(&my_key, GENERIC_ALL, &my_object_attr);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("打开注册表项失败"));
	}
	UNICODE_STRING my_key_name = RTL_CONSTANT_STRING(L"UBR");

	KEY_VALUE_PARTIAL_INFORMATION key_infor; //试探需要的空间
	PKEY_VALUE_PARTIAL_INFORMATION ac_key_infor; //重新分配的空间

	ULONG ac_length; //实际返回的字节长度
	status = ZwQueryValueKey(
		my_key,
		&my_key_name,
		KeyValuePartialInformation,
		&key_infor,
		sizeof(KEY_VALUE_PARTIAL_INFORMATION),
		&ac_length
	);
	if (!NT_SUCCESS(status) && status != STATUS_BUFFER_OVERFLOW && status != STATUS_BUFFER_TOO_SMALL)
	{
		//错误处理
		ZwClose(my_key);
		return;
	}
	ac_key_infor = (PKEY_VALUE_PARTIAL_INFORMATION)ExAllocatePoolWithTag(NonPagedPool, ac_length, 'TEST');
	if (ac_key_infor == NULL)
	{
		status = STATUS_INSUFFICIENT_RESOURCES;
		//错误处理
		ZwClose(my_key);
		return;
	}
	status = ZwQueryValueKey(
		my_key,
		&my_key_name,
		KeyValuePartialInformation,
		ac_key_infor,
		ac_length,
		&ac_length
	);

	if (!NT_SUCCESS(status))
	{
		KdPrint(("Get key error"));
		//错误处理
		ZwClose(my_key);
		return;
	}
	UNICODE_STRING keyString;
	ULONG	lKeyValue;
	//解析值
	GetKeyValue(ac_key_infor, &keyString, &lKeyValue);

	if (ac_key_infor->Type == REG_DWORD)
		KdPrint(("DWORD %d",lKeyValue ));
	else if (ac_key_infor->Type == REG_SZ)
		KdPrint(("UNICODE STRING %wZ", &keyString));

	//写注册表数据
	UNICODE_STRING writeRegName1, writeRegName2;
	RtlInitUnicodeString(&writeRegName1, L"test1");
	RtlInitUnicodeString(&writeRegName2, L"test2");

	PWCHAR pData1 = { L"test set value" };
	status = ZwSetValueKey(my_key, &writeRegName1, 0, REG_SZ, pData1, (wcslen(pData1)+1)*sizeof(WCHAR));
	if (!NT_SUCCESS(status))
	{
		KdPrint(("set key value1 error"));
		ZwClose(my_key);
		return;
	}

	ULONG ulValue = 0x1008;
	status = ZwSetValueKey(my_key, &writeRegName2, 0, REG_DWORD, &ulValue, sizeof(ulValue));
	if (!NT_SUCCESS(status))
	{
		KdPrint(("set key value2 error"));
		ZwClose(my_key);
		return;
	}

	ZwClose(my_key);
}

运行截图

在这里插入图片描述

4、线程使用

​ 内核模式下创建线程跟应用程序类似,创建线程函数,传参数,同步事件等,下面是一个例子可以传结构体参数,同步等待事件

线程函数部分


static KEVENT event;
typedef struct addParam
{
	ULONG param1;
	ULONG param2;
}ADD_PARAM;

void MyThread(PVOID param)
{
	ADD_PARAM * stParam = (ADD_PARAM*)param;
	ULONG ulRet;
	ulRet = stParam->param1 + stParam->param2;
	KdPrint(("%d + %d = %d", stParam->param1, stParam->param2, ulRet));

	KeSetEvent(&event, 0, TRUE);
	PsTerminateSystemThread(STATUS_SUCCESS);
}

线程创建代码

	//创建线程
	HANDLE hThread = NULL;
	KeInitializeEvent(&event, SynchronizationEvent, FALSE);

	ADD_PARAM stThreadData = {1,5};
	status = PsCreateSystemThread(&hThread, 0, NULL, NULL, NULL, MyThread, (PVOID)&stThreadData);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("创建系统线程失败"));
	}
	ZwClose(hThread);
	KeWaitForSingleObject(&event, Executive, KernelMode, 0, 0);
feng_blog6688
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用Attribute注册所有特性
zhliu1991的专栏
08-11 442
一、定义一个拥有Attribute特性的基类 [AttributeUsage(AttributeTargets.Class, AllowMultiple = true, Inherited = true)] public class ClassTypeRegisterAttributeBase : System.Attribute { public virtual void Register(
(C#)多线程读取注册表,加载至TreeView
_少年已不年少的专栏
11-12 843
using System; using System.Drawing; using System.Windows.Forms; using System.Threading; using Microsoft.Win32; namespace 星空个性化助手 { public partial class Form1 : Form { private delegate
创建新线程访问注册表
yidujinhuang的专栏
11-29 453
1 首先建立一个MFC(EXE)的工程, 选择DIALOG 模式,在面板上添加一个button, 和一个LISTBOX 控件,LISTBOX添加一个对象  CLISTBOX  m_listBox. 2 点击查询按钮之后,在该响应函数中创建新进程,该进程完成对注册表的访问。 3,新进程访问注册表,去得访问结果,发送回RegOpen 界面响应。在MFC中添加自己定义的消息详情请参考前2篇文章。
通过修改注册表让IE实现多线程下载
Thomas Tian的专栏
02-27 1083
         我们都知道,像“网络蚂蚁”之类的下载工具下载速度都很快,因为它们都是多线程下载的,也就是把一个下载文件分成若干份同时进行下载,而IE下载速度之所以这么慢,是因为它用的是单线程下载,那我们能不能也给IE下载加上多线程下载呢?可以通过修改注册表的方面来实现IE的多线程下载,打开注册表,展开“HKEY_CURRENT_USER\Software\ Microsoft\Windows\C
关于注册表组件线程设置
第四类人
05-16 3144
技术总监问我,在注册表关于组件多线程设置,在服务器找到已注册dll发现ThreadingModel键值,真不知什么意思,以下文章我看了真不懂,反正发现值是free,是支持多线程,以下备忘留用。       转自http://blog.sina.com.cn/s/blog_56dee71a0100ngrv.html -------------------------------------
300个注册表优化修改文件
11-20
让IE多线程下载.reg 设定IE的Cookies目录.reg 设置IE的Cache目录.reg 设置IE的历史目录.reg 设置IE的起始页.reg 设置IE的收藏目录.reg 设置IE发生错误时是否允许报错.reg 锁定IE的下载功能.reg 修改IE的标题...
易语言监控注册表
08-21
总的来说,“易语言监控注册表”涉及的知识点包括:易语言基础语法、Windows API调用、注册表操作、事件监听机制、多线程编程和错误处理。通过学习和实践这部分内容,开发者不仅可以提升易语言编程技能,还能深入...
HOOK注册表.rar
04-05
- 多线程处理:因为钩子可能在不同的线程上下文中被调用,所以需要了解多线程编程。 - 错误处理:编写健壮的代码,处理可能出现的错误情况,如权限问题、内存分配失败等。 总之,“HOOK注册表.rar”文件提供的源码...
vbs的多线程的解决方法
05-18
### VBS多线程的解决方法 在Visual Basic Script(VBS)中实现多线程并非易事,因为VBS本身并不直接支持多线程机制。然而,在某些情况下,我们可能需要让脚本同时执行多个任务,以提高效率或解决特定问题。本文将...
ActiveX多线程回调源码+注册脚本+测试页面
11-28
- **测试页面**:可能是一个HTML文件,包含了使用该ActiveX控件的示例代码,用于测试控件的功能和多线程回调的正确性。通过测试页面,你可以看到回调函数如何在JavaScript中被调用,以及如何处理来自ActiveX控件的...
CLR学习笔记--Attribute
July_Lee的专栏
11-21 1371
一、       引言 利用定制的Attribute,我样可以声明性地为自己的代码添加注解,从而实现一些特殊的功能。定制的Attribute允许将定义的信息应用于几乎每一个元数据表记录项(AttributeTargets枚举了可应用的所有项) 当我们将一个定制的Attribute应用于某个元数据,例如应用于某个类时,则在编译后,会在该类的元数据中的CustomerAttribute“注册表”中
qt5读取按键值的两种方式
explore_world的博客
02-23 5858
方式一: 利用linux标准操作文件的方式即:open\read,这种方式适用性比较广既适合于标准输入设备驱动,也适用于非标准设备驱动 void get_device_fd(void) { //open the device key_fd = open("/dev/input/event1", O_RDONLY); if(key_fd < 0) { printf
单片机c语言中void key(void),单片机C语言编程
weixin_28943045的博客
05-18 2024
可以实现这个功能吗?K1键流水灯交替闪烁。K2键流水灯从两边向中间移动闪烁。K3键流水灯全部闪烁。K4键流水灯从LED7到LED0流水闪烁。#includesbit S5=P1^4;sbit S6=P1^5;sbit S7=P1^6;sbit S8=P1^7;unsigned char keyval;void key_scan(void);void forward(void);void backw...
修改注册表解决excel 同时使用多进程打开的方法
wiss66的专栏
02-28 3675
实验 理解程序、进程、线程及利用Windows注册表完成相应操作
m0_56948411的博客
06-14 823
实验目的理解程序、进程、线程的含义以及关系。2、学习和掌握利用Windows注册表完成任意程序的多种自启动。3、学习和掌握利用Windows注册表修改常见的文件类型的关联方式。4、学习和掌握利用Windows注册表完成镜像劫持操作。实验环境操作环境:Windows7实验工具:cmd、regedit实验原理通过自启动机制,应用程序、内核驱动系统服务在Windows系统启动时能自行完成自身启动。病毒除利用注册表完成自启动之外,还可利用文件类型关联程序完成隐匿自启动。新建一个以杀毒软件主程序命名的项,例如Win
64位windows7下使用CopyFile()函数复制文件系统目录下不成功问题
Puzo0074的博客
10-02 4055
TCHAR Systempath[MAX_PATH]; ::GetSystemDirectory(Systempath,MAX_PATH); strcat(Systempath,"\\HelloWorld.exe"); int flag=CopyFile(pathtofile.c_str(),Systempath,false); if(flag!=0){ cout<<"拷贝成
【笔记】arp
LawssssCat的博客
02-11 848
💡根据tcp协议,在数据链路层是通过MAC地址通信的。作用: 根据目标IP地址,解析目的MAC地址。
C#多线程技术详解:优缺点与.NET支持
9.4节讨论了线程优先级的设置,9.5节涉及线程同步的各种技术和策略,9.6节通过实际应用案例进一步说明了多线程技术的应用,例如可能包括文件操作、网络通信等场景。9.7和9.8节则可能涵盖使用多线程访问注册表和获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

feng_blog6688

只需一个赞,谢谢你的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值